機密情報漏えい対策は万全ですか？事例を交えた対策とリスクを解説

激しくなる一方のサイバー攻撃により、企業の機密情報漏えいが散見されます。2022年9月に発生した、政府運営の「e-Gov」や人気SNSなどへのサイバー攻撃は記憶に新しいのではないでしょうか？

機密情報とは、自社の文書やデータ情報だけでなく、取引先の営業秘密情報も含まれます。

今回は、経営者やバックオフィスのセキュリティ担当者に向け、事例を交えながら機密情報漏えい対策やリスクについて解説します。

機密情報漏えいにあたる内容とは？

まずは、どのような内容が機密情報にあたるのかを把握しておきましょう。

上から順に機密情報の重要度を示す「VAPS」という指標があります。

VAPSのうち、「VAP」の具体例を以下に示します。

•  社員の住所・氏名・年齢など基本的な個人情報
•  役職や給与
•  顧客先情報
•  財務情報
•  営業などにより得た顧客情報など

まずは「VAP」の情報資産を把握し、「S」にあたるセキュリティレベルを決定します。

当然ながら、企業は社員との信頼関係を前提に運営しているので、個人情報は確実に守らなければなりません。さらに、社外秘マークがあるものや、新製品情報、研究データ、設計図、財務にまつわるデータなども機密情報です。

ほかにも、営業などによって知り得た顧客先の連絡先情報や見積書、契約書、共同開発にまつわる情報なども機密情報に該当します。また、営業時に知り得た営業秘密を漏えいすれば、場合によっては機密情報漏えいにあたり、刑事罰に問われる恐れもあります。

このように、機密情報には自社が外部への開示を予定していない秘密情報だけでなく、営業機密・秘密情報も含まれています。

概念として、「自社および他社に不利益・損害を与える恐れがある情報」が機密情報だと捉えてください。

機密情報漏えいの事例

企業などの機密情報が漏えいすると、自社のみならず取引先にも想像以上の被害を与えてしまいます。企業名や詳細は伏せますが、機密情報漏えいした事例を紹介します。

●損害保険業界の機密情報漏えい事例

国内の損害保険業界では、個人ではなく組織アカウントの機密情報が大量に漏えいしました。

2018年にはダークウェブに流出し、約27億件もの有効なメールアドレス・パスワードがインターネット上に流出し、国内外のITセキュリティ業界を震撼させました。

また、2020年には保険代理店に対する不正アクセスが生じ、顧客情報が8万件以上流出しています。その後、保険業界のセキュリティ担当部門は、多要素認証や暗号化などによる不正アクセス予防保全対策などを実施しました。

●金融機関の情報漏えい事例

2013年、銀行から顧客の氏名・住所・電話番号・口座番号などの個人情報資料が、4万件近く紛失しました。いわゆる人的ミスにより誤って廃棄したことが原因だったため、外部への流出は避けられましたが、その後、情報管理が徹底されました。

2021年には、銀行から複数の業務委託先に誤送信したことが原因で、顧客情報やカードの暗証番号などの機密情報が漏えいしました。漏えいに気づいた銀行側は即時にデータ提供をストップしたため、二次流出は免れました。しかし、顧客にカードの再発行をしてもらうことになり、多大な迷惑を与えてしまったのです。

機密情報漏えい対策

機密情報漏えい対策は、企業の生命線ともいえるでしょう。

重複する部分はあるものの、大きく「人的エラー」と「不正アクセス」に分け、情報漏えい対策を解説します。

●人的エラーへの機密情報漏えい対策

• セキュリティポリシーの作成

内部不正やうっかりミスを防ぐためには、自社に応じたセキュリティポリシーの作成が必要です。

• ルールの作成

業務用デバイスの持ち帰り禁止、デバイスを私用で使わない、メールの添付ファイルは開かない、在宅ワーク時の公衆無線使用禁止などのルールを作成し、従業員に周知徹底しましょう。

• 従業員教育

内部講師または外部講師による講義を実施しましょう。また、定期的に理解度を確認できるようなテストやアンケートを行うと効果的です。

• メール誤送信ソフトウェアの導入

上司や複数名による確認も行いたいところですが、人的ミスを100％防ぐのは難しいため、メール送信時の誤送信を防止するソフトウェアを活用しましょう。

また、メールでの資料共有をやめてオンラインストレージを活用すれば、機密情報漏えい対策につながります。

●不正アクセスへの機密情報漏えい対策

• サイバー攻撃の恐ろしさを知る

機密情報を国内外からのサイバー攻撃から死守することは、企業の存続のためにも必要不可欠です。情報を盗み取るマルウェアやランサムウェア配信ツールなど、数え上げればキリがないほどの攻撃が毎秒行われています。

• リスクを低減させる第一歩

外部からの不正行為による機密情報漏えい対策の初歩的措置として、狙われやすいIoT機器を含めた情報資産状況を確認し、最新のファームウェアや更新プログラムを確実に適用します。

また、多要素認証やアクセス権限などを設け、本人認証も強化しておきましょう。

• 情報漏えい事故・攻撃の早期検知

企業内外からのセキュリティ上の事故や攻撃による脅威を「情報セキュリティインシデント」と呼びます。

サーバーなどの各種ログの確認、アクセスコントロールの再点検、通信の監視などを徹底し、インシデントの早期探知で被害拡大を防ぎましょう。

異常ログを検知するツールを活用すれば、目視だけではわかりにくいログも確認できます。

まとめ

機密情報漏えいが生じると、多大な損失を受けるばかりか、顧客からの信頼失墜など大きなダメージは免れません。経営者はもとより、ベテランのセキュリティ担当者も過去の概念にとらわれることなく、刻々と変化するサイバー攻撃への認識や機密情報漏えい対策を確実に実施しましょう。